چه مقادیری باید Session بشن؟

[X7337X]

سلام
سیستم لوگین نوشتم حالا میخوام بدونم واسه اینکه امنیت بالاتر بره چطور یا چه مقادیری باید session بشن؟
من id رو session کردم؛ کافیه؟

اگه بخوام cookie هم save بشه id رو save کنم؟ به صورت ساده؟ یا کد شده؟

مرسی

 

[P.H.P]

شما id رو session کنید کافیه ولی سعی کن حداقل 2 پارامتر بدی

برای cookie هم میتونید id رو base64 کنید

برای اینکه امنیت بالا بره توجه زیادی به injection داشته باش

1) هنگام select table مقادیر رو محدود کن
2) در صورتی که ip بیش از 5 بار ورود ناموفق داشت به مدت چند ساعت ban کن
3) پیشنهاد میکنم از cookie استفاده نکن
و ...


موفق

 

[amirkhoshhal]

1) هنگام select table مقادیر رو محدود کن
2) در صورتی که ip بیش از 5 بار ورود ناموفق داشت به مدت چند ساعت ban کن

سلام می شه می شه یه نمونه ساده کدش رو بذارید ؟ ممنون

 

[P.H.P]

1) یعنی مثلا نام کاربری حالت a-zA-Z0-9 باشه و کمتر از 8 تا و بیشتر از 15 تا نباشه

2) هر ip که login میکنه در صورت ورود ناموفق ip و date time در db ثبت بشه اگه توی 1 ساعت در 1 روز بیش از 5 بار ورود ناموفق داشت مثلا 2 ساعت ban بشه